企业数据跨境合规与技术应用白皮书

企业数据跨境合规与技术应用白皮书（2023）中国联通研究院中国联通网络安全研究院11版权声明目录前言 1一全数据境流背景 3数跨境动全数字济加增长 3各加快建自数据境流规则 4国据跨境流监面临较挑战 6二我国据跨政策境与点内解读 8我数据境监制度 9数出境规路判方法 12数出境规路实施程 15数出境涉基概念 18数出境型场景 20三企数据境合治理系建设 23组机建设 24制体建设 26合路径作实践 27保体建设 28技防措施 30四数据境安管理展建议 39健数据境制体系保护制 39强数据境技创新究与用 40推数据境协治理国际流合作 41附：数出境关法法规国家准 43参文献 45表目录表2-1我法律制的据出合规径 10表2-2数出境规路适用形 11表2-3规定（求意稿）出台合规径适情形 12表2-4数出境为模一 21表2-5数出行模式二 22表3-1传联邦习和全联学习比较 36图目录图2-1数出境全评流程 16图2-2个信息境标合同案流程 17图3-1数跨境规治框架 24图3-2基区块网络跨境据流示意图 37前言-1-编写组成员（排名不分先后）：总策划：苗守野、李浩宇、叶晓煜编委会：徐雷、杨锦洲、吴钢、马瑞涛、林海、张航、陶冶、曹咪、孙艺、吴连勇、李佳杭、康旗、刘亚琪、孟洁、王程、刘洋、李冰、陈靖、杨晓蔚、韩莹莹、薛竞、黄一申、李佳敏、孙进芳、杨开敏、赵灿、刘宇健、张钦华一、全球数据跨境流动背景5G数据跨境驱动全球数字经济加速增长一是促进国际贸易高质量发展。跨境数据流动已成为推动经济全二是加速企业发展国际化进程。企业作为市场主体，其业务模式三是驱动数字经济加速增长。全球数据流动对经济增长有明显的GDP增长.5万亿美元。据经济合作与发展组织（OECD）测算，数据流动对10%，在数字平台、金融业等行业中可达到32%。依托数字技术和信息网络推动数据跨境流动，可带各国加快构建自身数据跨境流动规则美国欧盟印度70从当前国际数字贸易相关协定来看，数据跨境流动规则正在成为我国数据跨境流动监管面临较大挑战我国明确将数据作为新型生产要素，据《数字中国发展报告22.Z..2.%一是数据跨境流动隐蔽性强，难以有效监管。数据跨境流动深植二是数据跨境量级指数递增，分类监管难度较大。随着互联网的二、我国数据跨境政策环境与重点内容解读我国数据跨境监管制度2-1表2-1我国法律规制的数据出境合规路径法律名称生效日期规制数据规制主体合规路径《网络安全法》201761关键信息基础设施运营者向境外提供，应当进行安全评估《数据安全法》202191重要数据关键信息基础设施运营者向境外提供，应当进行安全评估其他数据处理者遵照国家网信部门会同国务院有关部门制定的办法《个人信息保护法》2021年111个人信息国家机关向境外提供，应当进行安全评估关键信息基础设施运营者其他个人信息处理者向境外提供，应当具备下列条件之一：；；的其他条件。陆续（2-2表2-2数据出境合规路径适用情形部门规章生效日期适用情形配套文件《数据出境安全评估办法》202291数据出境安全评估适用于以下四种情形：；100；11101万人；《数据出境安全评估申报指南（第一版）》（以下简称《评估申报指南》）《个人信息保护认证实施规则》2022114日对个人信息处理者开展个人信息跨境等处理活动进行认证《信息安全技术个人信息安全规范》《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V20》《个人信息出境标准合同办法》202361通过标准合同方式向境外提供个人信息应同时符合下列情形：1001110111（）》2023928《规范和促进数据跨境流（（用情形将发生变化，总结如表2-3所示。表2-3《规定（征求意见稿）》出台后合规路径的适用情形合规路径《规定（征求意见稿）》出台后的适用情形申报数据出境安全评估100订立个人信息出境标准合同或通过个人信息保护认证（1）预计一年内向境外提供1万人以上、不满100万人个人信息。豁免1数据出境合规路径判断方法（预计一年内向境外提供100万人以上个人信息的，应当申报11001通过个人信息保护认证。需要说明的是，企业在实际工作中，应以当时的生效规定为准。《规定（征求意见稿）》列明了不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形，以下情况属于豁免情形。必须向境外提供个人信息的。未列入自贸区负面清单的数据：自贸区可自行制定数据出境（数据出境合规路径实施流程2.3.1数据出境安全评估各项材料，如提交的材料不够完整，申请可能被退回。根据《评估办法》的要求，数据出境安全评估整体流程期间为57+N各项材料，如提交的材料不够完整，申请可能被退回。根据《评估办法》的要求，数据出境安全评估整体流程期间为57+N天（5+7+45+N，N代表补充材料审核时间）；如涉及复评的，则为72+N（57+N+15）天。具体流程如图2-1所示。图2-1数据出境安全评估流程2.3.2个人信息出境标准合同评估报告并至少保存三年。10地省级网信部门提交标准合同和个人信息保护影响评估报告等材料152-2图2-2个人信息出境标准合同备案流程2.3.3个人信息保护认证个人信息跨境处理活动安全认证规范V2.0》。数据出境所涉基本概念重要数据个人信息个人信息是以电子或者其他方式记录的与已识别或者可识别的自然《信息安全技术个人信息安全规范》的附录举例表等进行综合判断。关键信息基础设施数据出境典型场景对于“境内运营”的概念，现行生效的政策文件尚未明确定义，但实务中一般认定为是网络运营者在中国境内开展业务，或向中国境2-42-5表2-4数据出境行为模式一：数据处理者将在境内运营中收集和产生的数据传输、存储至境外序号场景示例图示①境内主体将在境内运营中收集和产生的数据从境内服务器传输至境外的服务器。②App“直接存储”至境外服务器。③境外主体委托境内或境外第三方供应商代为收集境内主体在境内运营中产生的数据。④境内主体委托境内或境外第三方供应商处理其⑤境外公司直接向中国境内个人或用户提供产品或服务，且于境外直接收集境内产生的用户数据。序号场景示例图示①序号场景示例图示①属子公司或关联公司访问或调用境内主体存储于境内的数据。②境外员工或人员到境内出差，访问境内系统或在境内接收数据。三、企业数据跨境合规治理体系建设3-1所示。下面将对框架图展开介绍。图3-1数据跨境合规治理框架3-1所示。下面将对框架图展开介绍。图3-1数据跨境合规治理框架组织机构建设力、物力资源推进数据跨境合规治理；另外，根据有关法律和标准要求，还需重点明确关键岗位角色：制度体系建设数据跨境专项制度/规范数据跨境合规操作指南/规范为数据跨境管理提供操作规程和实施指引。/报告/模板安全管控配套制度据出境中和出境后需要依据有关要求采取相应的防护举措并做好风合规路径操作实践数据出境场景梳理数据出境合规路径实施.2.3保障体系建设风险监测应急保障企业宜根据数据出境业务情况建立针对性的数据安全事件应急出境后合规监控企业还需要持续关注数据接收方所在国家或地区的数据跨境相关法律动态，对发生变化的情况进行评估，及时调整数据跨境策略，如触发重新申报数据出境安全评估的情况，还应当重新申报。安全意识培养监督检查技术防护措施数据安全通用技术应用SQL查询语句进数据安全创新技术应用有可信第三方的前提下通过数学理论保证参与计算的各方输入信息安全联邦学习被认为是兼具隐私保护和跨机构数据共享的技术国的网络安全法以及GDR、PA3-1表3-1传统联邦学习和安全联邦学习的比较技术成熟度性能算法能力安全性依赖可信方概要普通联邦学习高高中中部分需要普通联邦学习，存在风险需要结合其它技术改进，才能合规。安全联邦学习高高高高可不需要综合运用TEE、密码学等隐私保护计算方法，适用于各种业务场景，容易合规。CPU区块链3-2图3-2基于区块链网络的跨境数据流动示意图IPv6P6具有充足的地址空间、层次化的地址结构、灵活的扩展头PRP6P6个显式的P6地址栈，该地址栈储存一条有序排列的转发路径，这种方式有能力在数据跨境流动过程中控制数据的传输路径。APN6P6P6T）T可以说，P6为感知数据、管理并优化数据跨境传输提供了一个潜在的解决方案。企业可以积极探索并推进P6在数据跨境场景四、数据跨境安全管理发展建议健全数据出境制度体系与保护机制强化数据跨境技术创新研究与应用一是加强数据跨境场景下安全技术的创新应用。需加强数据资产P6二是加强数据跨境流动安全风险监测。可以探索建立国家层面的三是布局数据跨境基础设施建设，夯实安全底座。试点可信数据推动数据跨境协同治理与国际交流合作一是探索建立政企协同的数据跨境治理体系。企业作为跨境规则二是探索建立跨境数据“白名单”制度。可参考GDPR，认定一629三是探索建立国际数据自由港。我国作为全球数字经济第二大市附录：数据出境相关法律法规和国家标准序号文件名称发布机构施行时间一、法律1《中华人民共和国网络安全法》全国人大常委会2017612《中华人民共和国数据安全法》全国人大常委会2021913《中华人民共和国个人信息保护法》全国人大常委会2021111二、法规4《关键信息基础设施安全保护条例》国务院202191三、部门规章5《网络安全审查办法》国家网信办等13部门20222156《数据出境安全评估办法》国家网信办2022917（第一版）》国家网信办20228318《个人信息保护认证实施规则》国家市场监管总局、国家网信办20221149《个人信息出境标准合同办法》国家网信办20236110《个人信息出境标准合同备案指南（第一版）》国家网信办202353011（征求意见稿）》国家网信办征求意见稿四、国家标准12B/T8-0《信息安全技术数据安全能力成熟度模型》TC26020203113B/T7-0《信息安全技术个人信息安全规范》TC260202010114B/T3-0《信息安全技术个人信息安全影响评估指南》TC26020216115TC260-PG-20222A《网络安全标准实践指南-个人信息跨境处理活动安全认证规范V2.0》TC26020221216日16B/T1-0《信息安全技术个人信息安全工程指南》TC26020235117B/T7-0个人信息处理中告知和同意的实施指南》TC26020231211820230255-T-469《信息安全技术个人信息跨境传输认证要求》TC260征求意见稿参考文献张茉楠.数据跨境流动新规的风向标意义.[EL]tt/mqqcm/mgMf20余宗良,张璐.我国数据跨境流动规则探析——基于粤港澳大湾区先行先试[.开放().rdpmtRprtafrtrL[].刘如,周京艳.我国数字经济外循环面临的跨境数据流动政策问题与对策[.科技中().[3..[1.郭春镇,候天赐.个人信息跨境流动的界定困境及其判定框架[.中国法律评().吴丹君,周天一.《网络安全法》系列解读之（二）数据跨境转移合规[EL]tt/ggjgc/Frtft/fi78a0e0-937cd8019334,.[.北京邮()0).王伟玲.数据跨境流动系统性风险:成因、发展与监管[.国际贸().肖雄.国际贸易体制下数据跨境流动监管之困境[.上海法学研()1.许力先，盛佳宇国家安全视角下数据跨境流动管制面临的困境及其应对策略[EL]tt/zjrc/f/5cdb80f孟凡新.双循环视角下提升数字平台治理水平的机制研究[.商业经济研()9.马其家,刘飞虎.数据出境中的国家安全治理探讨[.理论探().孙珵珵.数据跨境流动监管与安全比较研究[.中国电子科学研究院学8)6.陈思琦.智能网联汽车数据跨境流动的法律问题研究[.网络安全技术与应()8.[]华为.NEER0S0特性描述[/L]tt/prtcm/rprz/cE8/625f何林,况鹏,王士诚等.基于“I+”的应用感知网络（N6）[.电信科6).熊光清,张素敏.总体国家安全观视角下我国数据出境安全管理制度的完善[.哈(),2)0.企业数据跨境合规与技术应用白皮书（2023）-47-企业数据跨境合规与技术应用白皮书（2023）-47-中国联通研究院是根植于联通集团（中国联通直属二级机构），服务于国家战略、行业发展、企业生产的战略决策参谋者、技术发展引领者、产业发展助推者，是原创技术策源地主力军和数字技术融合创新排头兵。联通研究院致力于提高核心竞争力和增强核心功能，紧密围绕联网通信、算网数智两大类主业，按照4+2+X研发布局，开展面向C3网络、大数据赋能运营、端网边业协同创新、网络与信息安全等方向的前沿技术研发，承担高质量决策报告研究和专精特新核心技术攻关，致力于成为服务国家发展的高端智库、代表行业产业的发言人、助推数字化转型的参谋部，多方位参与网络强国、数字中国建设，大